Schoen Verhandlungsinstitut

AVV

Auftragsverarbeitungsvertrag (Art. 28 DSGVO) 

Stand: 03.11.2025
zwischen
Auftraggeber (Verantwortlicher i. S. d. DSGVO)
Name/Firma: __________________________
Adresse: __________________________
Vertreten durch: __________________________
E-Mail (Datenschutz): __________________________
 
Auftragsverarbeiter
Schoen Software UG (haftungsbeschränkt) 
Schönfließer Str. 21, 10439 Berlin, Deutschland 
vertreten durch den Geschäftsführer Dr. Raphael Schoen 
Kontakt für Rechts- und Datenschutzfragen: info@schoen-negotiation.com 
  
Präambel: Dieser Vertrag konkretisiert die Pflichten der Parteien nach Art. 28 DSGVO, wenn der Auftragsverarbeiter personenbezogene Daten für den Auftraggeber verarbeitet. 

§1 Gegenstand, Dauer, Weisungen 

Gegenstand: Verarbeitung personenbezogener Daten zur Erbringung der in den AGB/Leistungsbeschreibung beschriebenen SaaS-Dienste. 
Dauer: Vertragslaufzeit des Hauptvertrags; darüber hinaus bis zur Löschung bzw. Rückgabe gemäß §11. 
Weisungen: Verarbeitung ausschließlich auf dokumentierte Weisung des Auftraggebers; gesetzliche Ausnahmen werden – soweit zulässig – vorab mitgeteilt. 

§2 Art, Zweck, Kategorien 

Art der Verarbeitung: Erheben, Speichern, Organisieren, Nutzen, Übermitteln (an Subprozessoren), Löschen. 
Zwecke: Leistungserbringung, Betrieb/Support, Sicherheit (Logging, Missbrauchserkennung), Abrechnung, Fehleranalyse. Kein Training mit Kundendaten ohne ausdrückliches Opt-in des Auftraggebers. 
Vom Auftraggeber stammende Inhalte dürfen nur zu Leistungs-, Sicherheits- und Abrechnungszwecken verarbeitet werden. Eine Nutzung zu Trainings-/Verbesserungszwecken erfolgt ausschließlich mit Einwilligung (Opt-in) des Auftraggebers oder auf Basis vollständig anonymisierter/aggregierter, nicht-personenbezogener Daten, bei denen eine Re-Identifizierung technisch ausgeschlossen ist; der Auftragsverarbeiter hält hierfür dokumentierte Anonymisierungs-TOMs vor. 
Kategorien betroffener Personen: Mitarbeiter, Bevollmächtigte, Nutzer und Ansprechpartner des Auftraggebers.  Die Datenverarbeitung zu Trainingszwecken ohne Einwilligung oder ohne vorherige Anonymisierung ist ausgeschlossen. 
Datenkategorien: Stammdaten, Kontaktdaten, Nutzungs-/Meta-/Protokolldaten, Inhaltsdaten (Prompts/Uploads/Outputs), Vertrags- und Abrechnungsdaten. Besondere Kategorien nur, wenn ausdrücklich beauftragt. 

§3 Pflichten des Auftragsverarbeiters 

Vertraulichkeit: Verpflichtung aller mit der Verarbeitung betrauten Personen. 
TOMs (Art. 32 DSGVO): Implementierung und Aufrechterhaltung gemäß Anlage A (TOMs); Änderungen sind zulässig, sofern das Schutzniveau gewahrt bleibt. 
Unterstützung: Betroffenenrechte (Art. 12–23), Datenschutz-Folgenabschätzung (Art. 35), Konsultation (Art. 36), Sicherheit/Meldung/Benachrichtigung (Art. 32–34). 
Meldung von Verletzungen: Unverzüglich nach Kenntnis mit den Informationen nach Art. 33 Abs. 3 DSGVO. 
Nachweise/Audits: Bereitstellung geeigneter Nachweise; Auditrecht mit 14 Tagen Vorlauf, max. jährlich, außer bei Anlass; Wahrung von Vertraulichkeit/Geschäftsgeheimnissen. 
Datenminimierung & Protokollierung: nur erforderliche Daten; angemessene Logs. 

§4 Pflichten des Auftraggebers 

Rechtmäßigkeit und Information der Betroffenen. 
Berechtigungen/Rollen/Konfigurationen verwalten; Zugangsdaten schützen; Sicherheitsfunktionen (MFA etc.) nutzen. 
Eindeutige Weisungen; fachliche Prüfung der Ergebnisse (Human‑in‑the‑Loop); Beachtung der AUP. 
Datenminimierung; möglichst Pseudonymisierung/Anonymisierung. 

§5 Unterauftragsverarbeiter (Subprozessoren) 

Einsatz zulässig; Verpflichtung mindestens nach Maßgabe dieses AVV. 
Aktuelle Liste und Änderungsdienst werden bereitgestellt; Widerspruch aus wichtigem Grund binnen 14 Tagen möglich; ggf. Sonderkündigungsrecht. 
Drittländer: geeignete Garantien (EU‑SCC, zusätzliche Maßnahmen, TIA). 

§6 Internationale Datenübermittlungen 

Übermittlungen in Drittländer nur gemäß Art. 44 ff. DSGVO unter Verwendung anerkannter Mechanismen (z. B. EU‑SCC) und ergänzender Maßnahmen. 

§7 Unterstützung bei Betroffenenrechten 

Beim Auftragsverarbeiter eingehende Anfragen werden unverzüglich an den Auftraggeber weitergeleitet; Unterstützung nach Zumutbarkeit und Weisung. 

§8 Mitteilungen/Kontakte 

Benennung von Datenschutzkontakten durch beide Parteien; sicherheitsrelevante Mitteilungen per E‑Mail an diese Kontakte. 

§9 Geheimhaltung, Geschäftsgeheimnisse 

Schutz vertraulicher Informationen des Auftraggebers (insb. GeschGehG); Nutzung ausschließlich zur Vertragserfüllung; Fortgeltung über Vertragsende hinaus. 

§10 Vergütung 

Vergütung in den Entgelten des Hauptvertrags enthalten, sofern nichts Abweichendes vereinbart wird. 

§11 Rückgabe & Löschung 

Nach Vertragsende oder auf Weisung: Export innerhalb von 30 Tagen in maschinenlesbarer Form. 
Anschließend Löschung innerhalb von 60 Tagen, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen; Löschung wird dokumentiert. 
Backups werden turnusmäßig überschrieben/gelöscht; abweichende Anforderungen separat vereinbaren. 

§12 Haftung 

Es gilt die Haftungsregelung des Hauptvertrags (AGB §13); zwingende Haftungen bleiben unberührt. 

§13 Laufzeit, Kündigung 

Inkrafttreten mit Unterzeichnung/elektronischer Zustimmung; Geltung für die Dauer des Hauptvertrags; außerordentliche Kündigung aus wichtigem Grund möglich. 

§14 Rangfolge, Änderungen 

Bei Widersprüchen geht dieser AVV den AGB vor, soweit Datenschutz betroffen ist. 
Änderungen in Textform; der AGB-Änderungsmechanismus gilt entsprechend, soweit gesetzlich zulässig. 

§15 Schlussbestimmungen 

Es gilt deutsches Recht; Gerichtsstand Berlin, soweit zulässig. 
Salvatorische Klausel. 


Anlage A (Technische und organisatorische Maßnahmen – TOMs) 

• Zutritts-/Zugangskontrolle: Rechenzentrum bei Hetzner Online GmbH (EU/Deutschland), IAM, MFA, Rollen-/Rechtekonzept. 
• Zugriffskontrolle/Trennung: Mandantentrennung, Least Privilege, Protokollierung, Session-Management. 
• Weitergabekontrolle: TLS in Transit, Verschlüsselung at Rest (soweit technisch verfügbar), Key‑Management, DLP‑Kontrollen. 
• Eingabekontrolle: Change-/Release-Management, Logging von Admin-Aktivitäten. 
• Auftragskontrolle: AVV-Management, Subprozessorverträge, Weisungsmanagement. 
• Verfügbarkeitskontrolle: Backups, Monitoring, Anti‑DDoS, Notfallkonzept. 
• Integrität: Code‑Reviews, sichere Entwicklungsprozesse, Penetrationstests (mind. jährlich). 
• Privacy by Design/Default: Datenminimierung, Pseudonymisierung, Lösch-/Sperrkonzepte. 
• Schulung/Bewusstsein: Security-/Privacy-Trainings; Vertraulichkeitsvereinbarungen. 
• Lieferkette: SLA/Verträge, Risk‑Assessments, TIA für Drittländer. 


Anlage B (Subprozessoren – Liste) 

Diese Liste ist Anlage B zum AVV. Änderungen werden mindestens 14 Tage vor Wirksamkeit bekannt gegeben; Widerspruchsrecht gemäß § 5 AVV.

• Cloud‑Infrastruktur/Hosting: Hetzner Online GmbH (Region: EU/Deutschland – Rechenzentren Nürnberg/Falkenstein). 
• Logging/Monitoring: Eigenbetrieb (Schoen Software UG) auf Hetzner‑Infrastruktur (Region: EU/Deutschland). 
• E‑Mail/Kommunikation: derzeit kein externer Subprozessor für Transaktionsmails hinterlegt (optional: künftig EU‑/deutsche Anbieter). 
• Modell‑/KI‑Provider: OpenAI Ireland Limited / OpenAI, L.L.C. (Region: EU/USA – EU‑SCC + TIA); Google Ireland Limited / Google LLC (Region: EU/USA – EU‑SCC + TIA). 
  
Unterschriften 
Auftraggeber 
Ort/Datum: _____________________ 
Unterschrift/Name/Funktion: ______________________________ 
  
Auftragsverarbeiter 
Ort/Datum: 21.10.2025 
Schoen Software UG (haftungsbeschränkt) 
Unterschrift/Name/Funktion:  
Dr. Raphael Schoen (Geschäftsführer)